De Algemene Verordening Gegevensbescherming (AVG/GDPR) raakt overheidsopdrachten op meerdere niveaus. Van de verwerking van persoonsgegevens in offertes tot de verwerkersovereenkomst bij IT-opdrachten, en van de spanning tussen transparantie en privacy tot de rol van de functionaris voor gegevensbescherming — GDPR-compliance is een integraal onderdeel geworden van het aanbestedingsproces.
Waar raakt GDPR overheidsopdrachten?
Persoonsgegevens in offertes
Elke offerte bevat persoonsgegevens: namen van contactpersonen, cv’s van voorgesteld personeel, referenties met contactgegevens van opdrachtgevers, certificaten op naam. De aanbesteder verwerkt deze gegevens bij de beoordeling van de offertes.
De rechtsgrond voor deze verwerking is doorgaans het gerechtvaardigd belang (artikel 6.1.f GDPR) of de noodzaak voor de uitvoering van een taak van algemeen belang (artikel 6.1.e GDPR) in hoofde van de aanbesteder. De inschrijver die persoonsgegevens van zijn medewerkers deelt, moet deze medewerkers informeren dat hun gegevens worden verstrekt in het kader van een offerte.
Verwerkersovereenkomst bij dienstenopdrachten
Bij opdrachten waar de opdrachtnemer persoonsgegevens verwerkt namens de aanbesteder — denk aan IT-diensten, HR-administratie, cloud-hosting, facility management — is een verwerkersovereenkomst (artikel 28 GDPR) verplicht. Het bestek bevat steeds vaker een concept-verwerkersovereenkomst als bijlage.
De verwerkersovereenkomst regelt onder meer:
- Het onderwerp en de duur van de verwerking.
- De aard en het doel van de verwerking.
- Het type persoonsgegevens en de categorieën van betrokkenen.
- De verplichtingen en rechten van de verwerkingsverantwoordelijke.
- Beveiligingsmaatregelen die de verwerker moet nemen.
- Regels over subverwerkers (onderaannemers die ook persoonsgegevens verwerken).
- De terugave of vernietiging van gegevens bij het einde van het contract.
Transparantie versus privacy
Overheidsopdrachten zijn onderworpen aan transparantieverplichtingen: de gunningsbeslissing wordt gemotiveerd en gecommuniceerd, offerteprijzen worden bekendgemaakt, en het publiek heeft recht op informatie over de besteding van overheidsmiddelen. Tegelijkertijd beschermt de GDPR de persoonsgegevens die in dit proces worden verwerkt.
De balans ziet er als volgt uit:
- De namen van de bestuurders of zaakvoerders van inschrijvende bedrijven worden doorgaans als openbare informatie beschouwd — zij zijn immers gepubliceerd in het Belgisch Staatsblad en de KBO.
- Cv’s, contactgegevens van medewerkers en gedetailleerde referentie-informatie zijn niet openbaar en worden beschermd door de vertrouwelijkheidsregels van artikel 13 van de Wet van 17 juni 2016.
- Bij een openbaarheidsverzoek (Wet Openbaarheid van Bestuur) weegt de aanbesteder het transparantiebelang af tegen het recht op privacy.
GDPR-eisen in het bestek
DPO-vereisten
Bij opdrachten met een significante verwerking van persoonsgegevens kan het bestek eisen dat de inschrijver beschikt over een functionaris voor gegevensbescherming (DPO). Dit is vooral gebruikelijk bij:
- IT-opdrachten met verwerking van gezondheidsgegevens.
- Opdrachten voor dataverwerking of analytics.
- Cloud-diensten waar grote hoeveelheden persoonsgegevens worden opgeslagen.
Certificeringen als gunningscriterium
De GDPR voorziet in de mogelijkheid van certificeringsmechanismen (artikel 42 GDPR). Hoewel deze nog niet breed beschikbaar zijn, worden verwante certificeringen steeds vaker als selectie- of gunningscriterium gehanteerd:
- ISO 27001 (informatiebeveiliging) als bewijs van adequate beveiligingsmaatregelen.
- ISO 27701 (privacy-informatiemanagement) als aanvulling op ISO 27001.
- SOC 2 voor cloud- en IT-dienstverleners.
Data Protection Impact Assessment (DPIA)
Bij opdrachten met een hoog risico voor de rechten en vrijheden van betrokkenen — bijvoorbeeld grootschalige verwerking van bijzondere categorieën van persoonsgegevens — kan de aanbesteder een gegevensbeschermingseffectbeoordeling vereisen. De inschrijver moet dan in zijn offerte aantonen hoe hij de risico’s mitigeert.
Internationale dimensie
Doorgifte buiten de EER
Bij opdrachten met een internationaal element — cloud-diensten met servers buiten de EER, internationale onderaannemers, multinationale IT-leveranciers — is de doorgifte van persoonsgegevens buiten de Europese Economische Ruimte een kritisch aandachtspunt.
Na het Schrems II-arrest (2020) van het Hof van Justitie en het daaropvolgende EU-US Data Privacy Framework (2023) moet de aanbesteder verifiëren:
- Of de doorgifte plaatsvindt naar een land met een adequaatheidsbesluit.
- Of er passende waarborgen zijn (Standard Contractual Clauses, Binding Corporate Rules).
- Of er een aanvullende risicobeoordeling (Transfer Impact Assessment) is uitgevoerd.
Het bestek legt steeds vaker op dat gegevens uitsluitend binnen de EER worden verwerkt.
Geen bewaartermijnen. De aanbesteder bewaart offertes en bijhorende persoonsgegevens onbeperkt, zonder beleid voor vernietiging na afloop van de bewaringstermijn.
GDPR-eisen niet afstemmen op het risico. Een opdracht voor het leveren van kantoormeubilair heeft andere GDPR-eisen dan een opdracht voor cloud-hosting van patiëntendossiers. Het bestek moet proportioneel zijn.
Tips
Lees de verwerkersovereenkomst. Controleer als inschrijver de concept-verwerkersovereenkomst in het bestek vóór je inschrijft. Onrealistische of eenzijdige clausules (onbeperkte aansprakelijkheid, onmiddellijke melding van elk incident) zijn onderhandelbaar — stel tijdig vragen.
Informeer je medewerkers. Als je cv’s en persoonsgegevens van medewerkers in een offerte opneemt, informeer hen over de verwerking overeenkomstig artikel 13/14 GDPR.
Bied GDPR-compliance als troef. Bij IT- en dienstverleningsopdrachten is aantoonbare GDPR-compliance een onderscheidende factor. ISO 27001/27701-certificering, een benoemd DPO en een mature privacyorganisatie maken indruk.
Bereid een verwerkingsregister voor. Een up-to-date register van verwerkingsactiviteiten (artikel 30 GDPR) toont aan dat je de GDPR serieus neemt en versnelt de evaluatie van je offerte.